CWE词汇表定义

CWSS在CWRAF中得分

常见的弱点评分系统（CWSS）提供了一种以一致，灵活，开放的方式评分弱点的机制，该机制适应各种业务领域或小插曲的上下文的表达。它独立于CWRAF。但是，CWRAF利用CWSS的灵活性，以定义特定于小插图通过的方式来自定义CWSS分数技术影响记分卡。

使用小插曲得分弱点

CWSS的一种重要用例是支持自动代码扫描仪或其他工具生成的发现的自动评分。CWSS独立于CWRAF；它的影响因素定义了离散值，例如“高”和“低”。

但是，Vignettes可用于自定义用于工具发现生成的CWSS分数。可以使用先前描述的方法来量化影响因素。

大图）

自动构建自定义顶级列表

使用CWRAF，组织可以预选哪个CWE条目最引起人们的兴趣，也就是说，他们可以创建自己的自定义Top-N列表。例如，以电子商务网站的产品搜索功能为中心的小插图可能由数据库，Web客户端和服务器以及移动应用程序组成。

可以选择一组相关的CWE条目如下：

前25名）。

3）确定应将哪些CWSS因素视为不适用的因素（例如，补救成本）。

自动步骤：

• 4）对于每个相关的CWE条目，请提取其潜在的技术影响。
• 5）使用Vignette的技术影响记分卡评估相关CWE条目的一部分的每种技术影响。无论受影响的层如何，选择最大可用的子分数。
• 6）使用最大可用的子分数计算CWSS冲击因子（即，使用量化的权重代替预定义值来进行撞击）。
• 7）执行完整的CWSS计算以获得CWE条目的一般分数（使用步骤3中的“不适用”因素）。
• 8）根据其CWSS分数对所有相关的CWE条目进行排名。

以前的方法可以简化为：

大图）

继续下一节”创建自己的小插曲“

回到顶部

提供更多信息 - 请选择其他过滤器。